Neuer Erpresserschädling: kostenlose Dechiffrierung im Tausch gegen Neuinfektionen

Forscher haben einen neuen Kryptoblocker im Entwicklungsstadium entdeckt, der dem Opfer völlig unverblümt anbietet, seine Dateien kostenlos zu dechiffrieren, wenn es sich damit einverstanden erklärt, zwei andere Nutzer zu infizieren, die dann auch tatsächlich Lösegeld zahlen.

„Mir ist etwas Derartiges bei Erpressern noch nie untergekommen“, sagt Lawrence Abrams von der IT-Website BleepingComputer.com, der diesen Fund publik gemacht hat. „Das ist der erste Fall dieser Art in meiner Praxis.“

Von dem neuen Erpressungsschädling, der auf den Namen Popcorn Time getauft wurde (nicht zu verwechseln mit der gleichnamigen App zum Ansehen von Videocontent!), erfuhr Abrams aus dem Tweet eines Forschers vom MalwareHunterTeam, der die schädliche App im Darkweb aufgespürt hatte. Eine Analyse des Codes hat bestätigt, dass dieser Schädling das Opfer vor die Wahl stellt, entweder das Lösegeld selbst zu bezahlen oder zwei anderen Nutzern einen Link auf die Schaddatei zu schicken und auf ein positives Resultat zu warten. Ob Popcorn Time sich bereits ausgebreitet hat und möglicherweise sogar schon weit ausgebreitet hat, konnte bisher nicht festgestellt werden. „Dieser Code ist unvollständig, einige C&C-Server funktionieren nicht und es fehlen auch noch mehrere wichtige Komponenten“, kommentiert Abrams die Untersuchungsergebnisse.

Laut Aussage der Forscher umfasst die Liste der Dateien, die von Popcorn Time verschlüsselt werden können, mehr als 500 Positionen. Der neue Schädling arbeitet mit einem AES-Schlüssel mit einer Länge von 256 Bit, und er fügt dem Dateinamen nach der Chiffrierung die Erweiterung .filock hinzu. Dem von BleepingComputer.com veröffentlichten Screenshot nach zu urteilen soll das Opfer innerhalb einer Woche das Lösegeld bezahlen („der schnelle und einfache Weg“, wie die Erpresser schreiben) oder neue Opfer finden („der niederträchtige Weg“).

„Wir bedauern Ihnen mitteilen zu müssen, dass Ihr Computer und Ihre Dateien verschlüsselt wurden, doch keine Sorge. Es gibt eine Möglichkeit, den Computer und die Dateien wiederherzustellen. Schicken Sie den unten stehenden Link an andere Leute. Wenn zwei oder mehr Personen diese Datei installieren und bezahlen, dechiffrieren wir Ihre Dateien kostenlos.“

Neuer Erpresserschädling: kostenlose Dechiffrierung im Tausch gegen Neuinfektionen

Die Schöpfer dieses Erpresserprogramms geben sich als „Gruppe von Informatikstudenten aus Syrien aus“ und behaupten, dass von den Einnahmen aus der Aktivität des Schädlings Lebensmittel und Medikamente bezahlt werden sowie Obdach für Syrer, die infolge der Kriegshandlungen ihre Bleibe verloren haben. „Es tut uns sehr Leid, dass wir Sie zwingen müssen, zu bezahlen“, schreiben die ‚Wohltäter‘.

Für die Dechiffrierung der Dateien verlangen die Cybergangster 1 Bitcoin (etwa 800 US-Dollar), wobei das Opfer den Schlüssel nicht unzählige Male benutzen kann. „Das Erpresserprogramm enthält nicht vollendeten Code, auf Grundlage dessen anzunehmen ist, dass bei viermaliger falscher Eingabe des Schlüssels das Schadprogramm beginnt, die Dateien zu löschen“, schreibt Abrams auf der Website von Bleeping Computer.

Wie effektiv eine solche Verbreitungs- und Monetarisierungsmethode von Erpresserprogrammen ist, lässt sich derzeit nur schwer sagen. „Werden viele Betroffene bereit sein, das Gesetz zu brechen und versuchen, andere zu infizieren?“ fragt sich Abrams. „Ich glaube, nein“. Doch trotzdem scheint es Aasgeier zu geben, die keine moralischen Grenzen kennen und einen solchen Ansatz ausprobieren.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.